Alerte : un nouveau bug dans IE7 ouvrirait la porte aux phishers
15-03-2007
Les gardes anti-phishing de IE7 ont peut-ĂŞtre d'autres chats Ă fouetter
Publicité
Il y a comme un vent de panique qui souffle sur l'éditeur de Redmond et particulièrement sur son navigateur "hyper sécurisé" Internet Explorer 7.
Un développeur israélien répondant au nom d'Aviv Raff a annoncé sur son blog avoir découvert un bug dans IE7 ouvrant littéralement la porte aux "hameçonneurs", ces pirates qui ont pour spécialité les attaques de phishing.
Concrètement, d'après le chercheur, un attaquant peut utiliser un message d'erreur de IE7 pour renvoyer les surfeurs de la Toile sur de faux sites copiant soigneusement les originaux. Principalement les URL des banques.
Pour l'instant, Microsoft en est encore à l'étude de cette vulnérabilité. Un porte-parole de l'éditeur a ainsi déclaré : "Microsoft n'a pas été informé de l'utilisation de ce bug pour mener des attaques."
La vulnérabilité dénoncée par Raff concerne donc le message d'erreur affiché par IE7 lorsque ce dernier n'arrive pas à localiser un site internet. Un attaquant peut utiliser ce message en y incorporant un lien vers une fausse page Web contenant un code malveillant.
Les versions d'IE7 pour Windows Vista et Windows XP sont touchées.
Publicité
Articles associés :
- Phishing : le mois de février a été calme
- Le spam porno est sur le déclin
- Malware : eBay est victime du 'troisième homme'
- Panda lance une alerte au 'malware' SpamtaLoad
- Phishing : ISS donne 3 conseils pleins de bon sens...
- Une attaque 'pharming' sophistiquée a visé 50 organismes financiers
- Phishing : la Toile participe activement en France
- Les clients du CIC à nouveau visés par une attaque par phishing
- Google 'blackliste' les sites de phishing mais dévoile des ?log-in'
- Des hackers dérobent 800.000 euros avec des attaques de phishing
- Symantec commence à protéger les utilisateurs de Vista
Commentaires des lecteurs :
M.
Bonjour je suis toujours stupéfait par votre favoritisme.Vous parlez de IE7 soit mais pourquoi pas de Firefox.
Alors que le navigateur de la fondation Mozilla est sorti récemment dans un version 3.0 alpha 2, voici que l’actuelle version du navigateur souffre d’une faille de sécurité importante. Elle concerne l’outil de protection contre le phishing de Firefox et touche également la version 2.0.0.1.
Cette faille s’ouvre notamment lors de l’ouverture d’une page HTML volontairement mal formée et permet de contourner la protection anti phishing du navigateur, permettant ainsi de faire passer un site factice comme étant authentique.
Une autre faille concerne quand à elle une version antérieure à Firefox 2, et touche la version 1.5.0.9, encore largement utilisée. Elle se trouve dans l’outil de bloquage des pop-ups et permet à un utilisateur mal intentionné d’installer un malware sur la machine vulnérable lors de l’ouverture d’un lien modifié à cet effet. Le malware sera alors installé de manière transparente pour l’utilisateur et il sera capable de transmettre des informations confidentielles à une tierce personne.
Merci de parler des 2 Ă l'avenir.